PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Webseiten-Nutzung nur mit gültigem Clientzertifikat auf USB-Stick



AndreasMeier
20.10.05, 13:57
Hallo zusammen,

ich möchte eine spezielle Webseite von mir noch weiter absichern.
Im Moment hab ich htaccess eingestellt, damit man sich anmelden muss.

Jetzt hab ich hier (http://www.linuxforen.de/forums/showthread.php?t=114832) gelernt, dass ich einen weiteren Schutzmechanismus per Client-SSL-Zertifikat erstellen kann.

Meine Frage ist: Geht es, dass ich das Zertifikat, was ja letztendlich eine Datei ist, auf einem USB-Stick abspeicher und die Einstellungen so wähle, dass der USB-Stick erst vorhanden sein muss, damit ich auf die Seite komme ?

Heisst, kein Stick vorhanden, keine Anmeldung auf der Seite möglich.

Kann mir jemand bitte sagen, wo ich sowas evtl. einstellen kann ?

Herzlichen Dank,
Gruß
Andreas

marce
20.10.05, 14:07
Problem könnte sein, dass Du das Zert. in den Browser importieren musst...

[CCCB]m0p
20.10.05, 14:34
wenn die Daten so geheim sein sollen würde ich sie nicht auf ein Webserver laden und vielleicht über eine RSA-Authentifizierung nachdenken! rsasecurity.com

AndreasMeier
20.10.05, 16:40
Also, geheim sind die Daten nicht :-)
Also wäre so Sachen wie SecureID etc. ein bißchen zu viel.

Ich werd mir die Client-Zertifikat-Lösung mal näher anschauen.

Wenn es heißt, im Browser muß das Zertifikat importiert sein, was passiert denn, wenn das importierte Zertifikat auf dem USB-Stick liegt und man es von dort importiert ?
Wird es woanders hinkopiert ?
Bleibt es auf dem Stick ?
Angenommen, es bleibt auf dem Stick, was passiert, wenn der Stick nicht gemountet ist ?

Gruß
Andreas

Tim Taylor
20.10.05, 22:07
Ich glaube ja schon, dass das was Du vorhast funktioniert.
Die Zertifikate werden ja von Deiner CA auf dem Server erstellt.
Dort liegt die Information die der Apache braucht um prüfen zu können,
ob das Zerti echt ist oder nicht. Es kann allerdings sein, dass dann der Apache ohne den USB-Stick gar nicht erst startet, weil die Config auf eine Datei verweist, die dann nicht existiert.

AndreasMeier
20.10.05, 22:51
Äh, bin mir jetzt nicht sicher, ob Du da was verdrehst.
Ich wollte den USB-Stick nicht an den Server, wo der Apache läuft, reinstecken,
sondern in den Client.

Beispiel:
Laptop von unterwegs, ins Internet eingeloggt, dann Stick rein und an die Seite angeloggt.

Besser wäre noch, wenn ich das (ohne Konfig-Arbeiten am Browser) auf jedem Client machen könnte, z.B. bei nem Kumpel einfach ransetzen, USB-Stick anklemmen und los gehts.

Gruß
Andreas

marce
21.10.05, 07:08
das hängt dann vermutlich vom Browser ab - ich weiss nicht, wie die Certs bei den versch. Browsern gehandhabt werden, könnte mir aber vorstellen, dass sie beim Importieren in das jeweilige Unserprofil eingepflegt werden - und damit wäre dann nach dem ersten mal einbinden der USB-Stick nicht mehr nötig...

AndreasMeier
21.10.05, 10:21
Hm, ich stimme Dir zu.
So kommts einem zumindest vor, wenn man im Firefox sich die Geschichte so anschaut.

Ich werd das am WoEnde man mit einer Testseite ausprobieren.
Bin echt gespannt.

Gruß
Andreas

watislav
25.10.05, 16:33
Du müßtest dir mal anschauen ob du es nicht über javascript lösen kannst.
Man kann per javascript inhalte von dateien abfragen, wenn man weiß wo sie liegen. Also einfach mal die Laufwerksbuchstaben durchgehen und das Zertifikat suchen. Kann aber natürlich sein, das die sicherheitsbestimmungen des Browsers dir da nen Strich durch die Rechnung machen.